Entrevista: Por que os hackers continuam atacando os protocolos e soluções DeFi ?

Resumo resumido

• A onda de ataques de hackers a protocolos de criptomoedas e DeFi continua a aumentar.
• Mais de 7 bilhões de dólares foram perdidos em ataques à indústria de criptomoedas em 2021.
• Por que os hackers continuam a atacar a indústria de criptomoedas?

A onda de ataques de hackers ao espaço DeFi e, por extensão, à indústria de criptomoedas, continua sendo motivo de preocupação para o setor.

Segundo relatos, 169dentocorreram em 2021, com quase US$ 7 bilhões em fundos perdidos para os hackers. No último mês, pelo menos cinco casos de hacking de criptomoedas foram relatados, sendo DeFi Cream Finance o mais recente a ser atingido por esses hackers. Estima-se que mais de US$ 130 milhões tenham sido roubados.

Em vez disso, Cryptopolitan conversou com Dmitry Mishunin, CEO e fundador da HashEx, uma empresa de P&D focada na integração de blockchain em processos de negócios e segurança cibernética. Dmitry possui umatronformação técnica em segurança cibernética e aplicativos descentralizados, além de uma experiência impressionante no desenvolvimento de sistemas de segurança da informação.

A seguir, trechos da entrevista.

P: Você está surpreso com o número de ataques e explorações que os usuários têm enfrentado ultimamente?

Infelizmente, não. Observamos que cada vez mais pessoas estão escrevendo seus própriostracinteligentes. No entanto, muitas vezes elas não possuem conhecimento suficiente de programação e um bom entendimento de Solidity – atualmente a única linguagem de programação compatível com Ethereum. Ter um bom conhecimento da linguagem de programação é essencial para criar um protocolo DeFi confiável, e desconhecer algumas de suas nuances pode facilmente levar a explorações e roubo de fundos.

P: Como aceitar ou assinar umtracinteligente que contém código malicioso pode levar ao roubo de seus ativos?

Todo usuário deve saber que as transações em blockchain são irreversíveis: uma vez que você aprova uma determinada quantidade de um token ERC-20 para um contrato inteligente ERC-20tracessa transferência será irreversível. Um contratotracter um código-fonte verificado e sem vulnerabilidades, mas também pode ter alguma biblioteca não verificada como dependência. Aprovar tokens para um contrato desse tipotracum grande risco, pois você não pode verificar como a biblioteca funciona.
Foi o que aconteceu no projeto StableMarket, quando pelo menos US$ 27 milhões em fundos de usuários foram roubados. Os contratos do projeto StableMarkettracum código auditado, mas foram implantados com uma biblioteca não verificada. Essa biblioteca era maliciosa e roubou os tokens dos usuários armazenados no protocolo.

Outro risco para os usuários é a aprovação de tokens para um contrato inteligente atualizáveltractal contratotracsermaticatualizado automaticamente com código malicioso e roubar os tokens aprovados.
, os aplicativos de front-end aprovam quantidades máximas de tokens para um contratotrace não apenas a quantidade que será usada. Isso é feito para pagar o gás em uma única transação. Se um usuário depositar tokens em um contratotracele precisará pagar o gás adicionalmente. Mas se um contratotracde forma maliciosa, ele poderá retirar qualquer quantidade de tokens da carteira.

Assim, a melhor prática para máxima segurança é sempre verificar o valor aprovado e aprovar apenas o valor necessário para a operação dotrac.

P: Os hackers estão ficando mais espertos ou os usuários de criptomoedas estão se tornando menos cautelosos com seus procedimentos de segurança cibernética?

Ambas as afirmações são verdadeiras. Os hackers têm feito progressos significativos na exploração de plataformas de empréstimos relâmpago em conjunto com diferentes protocolos para criar e explorar vulnerabilidades. Por si só, essas outras plataformas são geralmente seguras, mas os empréstimos relâmpago criam uma complexidade estrutural maior, o que torna as vulnerabilidades mais frequentes.

Esses ataques são muito complexos. Até mesmo a análise deles leva muito tempo. Além disso, muitos projetos são invadidos por códigos mal elaborados com bugs simples que provavelmente seriam eliminados se testes fossem realizados ou se o código fosse auditado adequadamente.
Parte da culpa também recai sobre os usuários, pois muitos deles conhecem as práticas seguras que minimizam os riscos, como o armazenamento a frio, por exemplo. Mas frequentemente as ignoram, perdendo a cabeça por uma oportunidade que poderia lhes trazer um retorno sobre o investimento muito maior. Às vezes, acabam simplesmente perdendo dinheiro.

P: Como os usuários podem proteger melhor seus ativos no Metamask e em aplicativos descentralizados (dapps) associados, como OpenSea e DeFi?

A melhor proteção não é armazenar todos os ativos em carteiras online (hot wallets), mas sim transferi-los para carteiras offline (cold wallets): estas últimas não têm acesso à internet. O ideal é armazenar apenas a pequena quantia de ativos necessária para as operações em carteiras online e manter o restante em carteiras offline.
Além disso, os usuários devem seguir as regras de segurança padrão: utilizar antivírus, evitar abrir links suspeitos em e-mails e usar a autenticação de dois fatores sempre que possível.

P: Você acha que os ataques e explorações de vulnerabilidades se tornarão mais comuns à medida que o setor crescer?

À medida que o setor cresce e mais projetos são lançados, mais deles enfrentarão o risco de serem hackeados. Não é possível eliminar todos os bugs em todos os projetos, mas as empresas de segurança de blockchain trabalham constantemente para minimizá-los. Isso inclui não apenas auditorias do código-fonte dos projetos, mas também o desenvolvimento de ferramentas analíticas que ajudarão a prevenir o surgimento de bugs ou, pelo menos, a encontrá-los nos estágios iniciais de desenvolvimento.

P: Qual o papel da HashEx na expansão da indústria de criptomoedas?

Esclarecemos as pessoas sobre a transparência e a segurança do uso de aplicativos descentralizados. A lógica de funcionamento deles é complexa demais e pouco clara para o usuário médio entender. Além disso, nenhuma pessoa sensata confiaria seu dinheiro a algo que não compreende, como Pinóquio no Campo dos Milagres. Explicamos conceitos complexos em termos simples e revelamos as armadilhas que as pessoas devem conhecer e evitar, além de ajudar potenciais investidores a tomarem decisões bem informadas sobre seus fundos.

Mas, principalmente, somos uma empresa de auditoria focada em DeFi e criptomoedas. Isso significa que realizamos muitas auditorias detracinteligentes e, assim, ajudamos projetos de criptomoedas a conquistar a confiança dos investidores, já que estes confiam mais em projetos bem protegidos contra erros dispendiosos que possam prejudicá-los financeiramente.

P: Quais são suas opiniões sobre as medidas do G7 e dodent dos EUA, Joe Biden, para acabar com os ataques de ransomware, a segurança cibernética e os frequentes ataques a criptomoedas?

A melhoria constante dos padrões de segurança faz parte da nossa rotina e ideologia corporativa. Buscamos trazer confiança para o espaço DeFi , que atualmente opera sem intermediários. E essa questão é crucial em qualquer área de TI, não apenas DeFi. Com o rápido surgimento de novos produtos de software, o aspecto da cibersegurança, infelizmente, não tem recebido a devida atenção, o que cria oportunidades para hackers explorarem. Há dois motivos principais para isso: a programação baseada em "cliques do mouse" e uma força de trabalho de baixa qualidade que recebe salários excessivamente altos.

Essa é uma desvantagem do rápido crescimento das empresas de TI. Nesse ambiente competitivo, as empresas tentam se destacar umas das outras, oferecendo novos produtos e, muitas vezes, ignorando problemas de segurança, apesar de sua importância. Como resultado, às vezes nos deparamos com grandes sistemas, utilizados por um grande número de clientes, que ainda apresentam falhas que podem levar à perda de fundos dos usuários. Em alguns casos, as consequências dessas falhas podem até mesmo se estender por todo um continente.

Deste ponto de vista, a intervenção governamental é totalmente justificada. Se não fosse pela intervenção dos governos estaduais nessas questões, quem mais reprimiria os empresários gananciosos e os convenceria a dedicar esforços a medidas de segurança e ao desenvolvimento de software de forma sensata?

Se as pessoas começarem a denunciar ataques cibernéticos às agências governamentais, isso terá um efeito positivo. Informações oportunas podem ajudar a minimizar as consequências de uma possível falha, permitindo o acionamento de canais alternativos (a situação do fornecimento de petróleo para a Costa Leste dos EUA pode ser vista como um bom exemplo dessa prática).

Padrões de segurança unificados em todo o setor também seriam benéficos, desde que desenvolvidos por especialistas, e não por pessoas de fora. Mesmo no estágio inicial atual de desenvolvimento de DApps, já vemos esses padrões sendo implementados pelas principais empresas de auditoria. A integração desses protocolos beneficiará a todos: facilitará a programação, tornará os códigos mais seguros e protegerá os fundos dos usuários.

P: Sobre esses ataques cibernéticos, fale sobre o impacto deles no setor de criptomoedas.

O feedback para a indústria de criptomoedas é uma tentativa de controlar os fundos roubados. Acho isso positivo. Atualmente, não é possível obter todas as comodidades do mundo real apenas com criptomoedas. Essa situação está mudando a cada dia, mas ainda está longe de ser perfeita. Portanto, os hackers ainda precisam de uma ponte entre criptomoedas e fundos fiduciários para sacar fundos obtidos ilegalmente.

Esta é a fase em que os criminosos podem serdent. Quanto mais forem encontrados, menos estarão dispostos a tentar novamente. Podemos lembrar de como, nas culturas orientais, costumavam mutilar membros para roubar. Essas intervenções das autoridades policiais têm tido uma influência totalmente positiva na indústria de criptomoedas e em sua reputação. Essas ações fazem com que as pessoas se sintam mais seguras.

P: Em relação aos agentes/jogadores mal-intencionados por trás de muitos desses ataques a criptomoedas, que sanções você recomendaria para dissuadir outros?

Como já disse antes, sou totalmente a favor de penalizar esses indivíduos. Considero essas operações como fraude financeira de gravidade variável e aplico as medidas legais cabíveis. Não pretendo elaborar novas leis neste momento.

P: Um mundo cripto sem ataques cibernéticos é praticamente impossível. Como os participantes do mercado cripto, os legisladores e todos os demais podem reduzir os ataques ao mínimo possível?

Qualquer área da TI é inconcebível sem ameaças cibernéticas. Mas quando falamos de empresas comuns, vemos apenas a ponta do iceberg, não o quadro completo. Há muito mais ataques cibernéticos acontecendo do que se imagina, pois as empresas poderiam prejudicar sua reputação se esse conhecimento se tornasse público. Com as criptomoedas, tudo é transparente e de conhecimento público, por isso a mídia tradicional noticia esses assuntos com mais frequência.

A cibersegurança é uma prática multidimensional, que inclui estruturas regulatórias nos pontos de entrada e saída de criptomoedas para moedas fiduciárias, educação do usuário, equipes de cibersegurança verificando o código, etc. Este setor ainda é jovem, o que proporciona uma excelente oportunidade para direcioná-lo nos caminhos certos de desenvolvimento. Dessa forma, podemos adotar práticas mais seguras desde o início, em vez de tentar remediar falhas posteriormente.